第1章 グローバル設定
1.1. ロール
ロールは、Red Hat Virtualization Manager から設定できる事前定義された権限のセットです。ロールは、データセンター内の異なるレベルのリソースや、特定の物理リソースおよび仮想リソースに対するアクセスおよび管理のパーミッションを提供します。
マルチレベル管理では、コンテナーオブジェクトに適用されるパーミッションは、そのコンテナー内のすべての個別オブジェクトにも適用されます。たとえば、特定のホスト上のユーザーにホスト管理者ロールが割り当てられた場合、そのユーザーは利用可能なホスト操作のいずれかを実行する権限を得ますが、割り当てられたホスト上でのみ実行できます。ただし、ホスト管理者ロールがデータセンターのユーザーに割り当てられている場合、ユーザーはデータセンターのクラスター内の全ホストでホスト操作を実行するパーミッションを取得します。
1.1.1. 新しいロールの作成
必要なロールが Red Hat Virtualization のデフォルトロールリストにない場合は、新しいロールを作成して、目的に合わせてカスタマイズできます。
新しいロールの作成
-
をクリックして Configure ウィンドウを開きます。Roles タブはデフォルトで選択され、デフォルトのユーザーおよび管理者ロールおよびカスタムロールのリストが表示されます。 - New をクリックします。
- 新規ロールの Name および Description を入力します。
- Account Type に Admin または User のいずれかを選択します。
- Expand All または Collapse All ボタンを使用して、Check Boxes to Allow Action リストに記載されているオブジェクトのパーミッションの表示を拡大または縮小します。また、各オブジェクトのオプションを展開したり、折りたたんだりすることもできます。
- それぞれのオブジェクトについて、設定しているロールを許可または拒否するアクションを選択または消去します。
- OK をクリックして変更を適用します。ロールの一覧に新しいロールが表示されます。
1.1.2. ロールの編集またはコピー
作成したロールの設定を変更できますが、デフォルトのロールを変更することはできません。デフォルトのロールを変更するには、そのロールのクローンを作成して、要件に合わせて変更します。
ロールの編集またはコピー
-
をクリックして Configure ウィンドウを開きます。ウィンドウには、デフォルトの User および Administrator ロールのリストとカスタムロールが表示されます。 - 変更するロールを選択します。Edit をクリックして Edit Role ウィンドウを開くか、Copy をクリックして Copy Role ウィンドウを開きます。
- 必要に応じて、ロールの Name および Description を編集します。
- Expand All または Collapse All ボタンを使用して、リストされているオブジェクトのパーミッションの表示を拡大または縮小します。また、各オブジェクトのオプションを展開したり、折りたたんだりすることもできます。
- それぞれのオブジェクトについて、編集するロールを許可または拒否するアクションを選択または消去します。
- OK をクリックして、加えた変更を適用します。
1.1.3. ユーザーロールと承認の例
以下の例は、本章で説明する承認システムの異なる機能を使用して、さまざまなシナリオに対して承認制御を適用する方法を示しています。
例1.1 クラスターパーミッション
Sarah は、ある企業の経理部門のシステム管理者です。彼女の部署のすべての仮想リソースは、Accounts という名前の Red Hat Virtualization クラスターの下に編成されています。彼女には Accounts クラスターの ClusterAdmin ロールが割り当てられています。これにより、仮想マシンはクラスターの子オブジェクトであるため、彼女はクラスター内のすべての仮想マシンを管理できます。仮想マシンの管理には、ディスクなどの仮想リソースの編集、追加、削除、およびスナップショットの作成などが含まれます。このクラスターの外部にあるリソースを管理することはできません。ClusterAdmin は管理者ロールであるため、管理ポータルまたは VM ポータルを使用してこれらのリソースを管理できます。
例1.2 VM PowerUser パーミッション
John は、経理部のソフトウェア開発者です。彼は仮想マシンを使用してソフトウェアを構築し、テストします。Sarah は、John に johndesktop という仮想デスクトップを作成しました。John は、johndesktop 仮想マシンで UserVmManager ロールが割り当てられています。これにより、VM ポータルを使用してこの単一仮想マシンにアクセスすることができます。彼は UserVmManager のパーミッションを持っているため、仮想マシンを変更できます。UserVmManager はユーザーロールであるため、管理ポータルを使用できません。
例1.3 データセンターパワーユーザーロールパーミッション
Penelope はオフィスマネージャーです。自分の仕事に加えて、面接の日程調整やリファレンスチェックのフォローアップなど、人事マネージャーの採用業務を手伝うこともあります。会社の方針により、Penelope は採用業務に特定のアプリケーションを使用する必要があります。
Penelope はオフィス管理用に自分のマシンを持っていますが、採用アプリケーションを実行するために別の仮想マシンを作成したいと考えています。彼女には、新しい仮想マシンが設置されるデータセンターの PowerUserRole パーミッションが割り当てられています。これは、新しい仮想マシンを作成することにより、ストレージドメインでの仮想ディスクの作成など、データセンター内の複数のコンポーネントに変更を加える必要があるためです。
これは、Penelope に DataCenterAdmin 権限を割り当てることとは違うことに注意してください。データセンターの PowerUser として、Penelope は VM ポータルにログインして、データセンター内の仮想マシン固有のアクションを実行できます。彼女は、ホストまたはストレージをデータセンターに割り当てるなど、データセンターレベルの操作を実行できません。
例1.4 ネットワーク管理者のパーミッション
Chris は、IT 部門のネットワーク管理者です。彼女の日常的な仕事は、部内の Red Hat Virtulization 環境におけるネットワークの作成、操作、削除などです。彼女には、リソースおよび各リソースのネットワークにおける管理者権限が必要です。たとえば、Chris が IT 部門のデータセンターのNetworkAdmin 権限を持っている場合、データセンター内のネットワークを追加および削除したり、データセンターに属するすべての仮想マシンのネットワークをアタッチおよびデタッチすることができます。
例1.5 カスタムロールパーミッション
レイチェルは IT 部門に所属し、Red Hat Virtualization のユーザーアカウント管理を担当しています。彼女には、ユーザーアカウントを追加し、適切なロールおよびパーミッションを割り当てる権限が必要です。彼女自身は仮想マシンを使用せず、ホスト、仮想マシン、クラスター、データセンターの管理にアクセスしてはいけません。彼女にこのような特定のパーミッションを与える組み込みのロールはありません。レイチェルの役職に適したパーミッションセットを定義するために、カスタムロールを作成する必要があります。
図1.1 UserManager カスタムロール
上記の UserManager のカスタムロールは、ユーザー、パーミッション、およびロールの操作を可能にします。これらのアクションは、図1.3「Red Hat Virtualization オブジェクトの階層」 に示す階層の上位オブジェクトである System の下に整理されています。これは、システム内のすべてのオブジェクトに適用されることを意味します。ロールの Account Type は Admin に設定されます。つまり、このロールが割り当てられると、Rachel は Administration Portal と VM Portal の両方を使用できるようになります。
